□文/徐國松 紀海榮

（大連財經學院風險管理與內部控制研究中心 遼寧·大連）

一、內部控制與風險管理定義

內部控制是指一個單位為了實現(xiàn)其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執(zhí)行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規(guī)劃、評價和控制的一系列方法、手續(xù)與措施的總稱。

1996年底美國審計委員會認可的COSO 的研究成果提出內部控制包含的五大要素：1、內部環(huán)境。是影響、制約企業(yè)內部控制制度建立與執(zhí)行的各種內部因素的總稱、是實施內部控制的基礎；2、風險評估。是及時識別、科學分析影響企業(yè)戰(zhàn)略和經營管理目標實現(xiàn)的各種不確定因素并采取應對策略的過程，是實施內部控制的重要環(huán)節(jié)和內容；3、控制措施。是根據風險評估結果、結合風險應對策略所采取的確保企業(yè)內部控制目標得以實現(xiàn)的方法和手段，是實施內部控制的具體方式和載體；4、信息與溝通。是及時、準確、完整地收集與企業(yè)經營管理相關的各種信息，并使這些信息以適當的方式在企業(yè)有關層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內部控制的重要條件；5、監(jiān)督檢查。是企業(yè)對其內部控制制度的健全性、合理性和有效性進行監(jiān)督檢查與評估，形成書面報告并做出相應處理的過程，是實施內部控制的重要保證，監(jiān)督檢查主要包括對建立并執(zhí)行內部控制制度的整體情況進行持續(xù)性監(jiān)督檢查。對內部控制的某一方面或者某些方面進行專項監(jiān)督檢查，以及提交相應的檢查報告、提出有針對性的改進措施等。企業(yè)內部控制自我評估是內部控制監(jiān)督檢查工作中的一項重要內容。

企業(yè)風險管理是由企業(yè)董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。是一個實施過程而不是一個結果，風險管理框架包括了八大要素：內部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控。

二、內部控制與風險管理比較

（一）兩者具有相同的管理層和實施群體，都提倡整個企業(yè)全員參與并且各有分工在內部控制與風險管理中都各司其職，分工明確。

（二）兩者均是一種進行著的狀態(tài)，是實現(xiàn)結果的一種方式。并不是單純的某種結果，企業(yè)內部控制與風險管理都是滲透于企業(yè)各項活動中的一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。

（三）為企業(yè)目標的實現(xiàn)提供合理的保證。設計合理、運行有效的內部控制與風險管理能夠向企業(yè)的管理者和董事會在企業(yè)各目標的實現(xiàn)上提供合理的保證。

（四）風險管理的目標有四類，其中三類與內部控制相重合，即報告目標、經營目標和遵循性目標。但報告目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發(fā)布的非財務類報告準確可靠。另外，風險管理增加了戰(zhàn)略目標，即與企業(yè)的遠景或使命相關的高層次目標。這意味著風險管理不僅是確保經營的效率與效果，而且介入了企業(yè)戰(zhàn)略制定過程。

（五）通過上文的論述我么不難發(fā)現(xiàn)風險管理與內部控制的組成要素有五個方面是重合的，即環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。這些重合充分表明他們具有相同的管理目標以及類似的實現(xiàn)機制。這向我們充分的證明了他們的密不可分性。

三、我國就內部控制與全面風險管理運用的一些誤區(qū)

（一）把內部控制與全面風險管理體系建設理解為建章立制。在我國很多企業(yè)都單純的認為只要在企業(yè)的管理制度中對內部控制與風險管理進行提及便是對其的運用，但是通過我們對于coso 的學習我們可以很明確地學習到，這是一個過程而非結果，不能單純的靠進行制度規(guī)定，而是要融入到企業(yè)的日常管理實踐中去，來進行不斷的運行和建設。

（二）內部控制體系和全面風險管理體系沒有聯(lián)系起來。建設內部控制和全面風險管理體系都是一個系統(tǒng)工程，兩者在內涵上也有一定重合，企業(yè)需要綜合考慮自身業(yè)務特點、發(fā)展階段、信息技術條件、外部環(huán)境要求等，確定選擇合適的管理體系和建設重點。比如，在監(jiān)管嚴格的金融業(yè)或涉及人民生命健康的制藥與醫(yī)療行業(yè)，風險管理的迫切性更強，企業(yè)以風險管理主導內部控制可能更方便。而在另一些企業(yè)，為了符合信息披露中內部控制報告的要求，企業(yè)以內部控制系統(tǒng)為主導、兼顧風險管理可能更適合。

（三）企業(yè)高估內部控制和全面風險管理的作用。在我國很多企業(yè)對內部控制和風險管理體系的建設由于認識不到位，導致他們對于兩者期望過高，盲目的認為只要運行例內部控制和風險管理肯定會讓企業(yè)擺脫失敗，然而實際上無論多么先進的內部控制和風險管理體系都只能為企業(yè)相關目標的實現(xiàn)提供合理的而非絕對的保證。

（四）內部控制與全面風險管理理念在企業(yè)實踐落地難。由于新的管理理念和方法的引進，與國內企業(yè)原有的管理體系和觀點存在較多的差異和差距，目前這些理念和方法還更多的處于導入階段，大多數企業(yè)管理人員還不能在這些框架和概念與企業(yè)的日常經營管理行為和語言之間建立直接的聯(lián)系。

四、提出相關建議

（一）完善公司治理結構。公司治理結構是現(xiàn)代企業(yè)在組織管理的核心?，F(xiàn)代企業(yè)組織管理使所有權與經營權相分離，在這種分離的基礎上，由于所有者和經營者之間的信息不對稱，導致各相關利益主體的地位及其所擁有的信息量的不同，最終決定了契約各方的不對等。會計控制作為企業(yè)組織內部控制的重要組成部分，是在一定控制環(huán)境中，由內部控制人依據一定的理念和一定的程序對企業(yè)組織的重要經濟活動和重要環(huán)節(jié)進行監(jiān)管的過程。良好的會計控制也是企業(yè)組織正確處理利益相關方關系，完善公司治理的重要保證。風險管理型會計控制信息系統(tǒng)作為風險管理型內部控制系統(tǒng)的主要組成部分，而不同的控制環(huán)境，其內部控制的方法和措施是不同的。同時，完善的企業(yè)治理結構是企業(yè)內部控制有效運行的環(huán)境保證。對內部控制的監(jiān)督也是監(jiān)事會的職責，通過獨立董事和監(jiān)事會的溝通和協(xié)調，相互交換信息，達到對內部控制的雙重監(jiān)控。

（二）規(guī)范控制活動。內部會計控制規(guī)范指出電子信息技術控制要求運用電子信息技術手段建立內部會計控制系統(tǒng)，減少和消除人為操縱因素，確保內部會計控制的有效實施；同時，加強對電子信息系統(tǒng)開發(fā)與維護、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制。在操作系統(tǒng)控制方面，要提高操作系統(tǒng)的安全可靠性。在會計數據資源控制方面，應合理定義應用子模式，根據不同的應用項目分別定義面向用戶操作的數據界面。在組織控制方面，合理設置工作站點，并通過操作系統(tǒng)和數據庫管理系統(tǒng)實現(xiàn)對各工作站的職責分工控制。

（三）完善并加強監(jiān)督。信息的流通有利于提高企業(yè)運行的效率和效果，給企業(yè)管理者提供全面、及時、正確的管理信息，有助于各個部門及時溝通加強配合。管理者應當制定有關方面制度，使信息能夠及時準確地為信息需要者所用，進而提高企業(yè)運行的整體效率。在信息技術環(huán)境下，應更注重對內部控制的監(jiān)督，由適當的人員及時評估控制的設計和運作情況。在進行社會審計時，可以借鑒西方國家對內部控制審計的一些做法，要求企業(yè)對外界公眾出具內部控制報告，并要求注冊會計師對其進行審計，出具審計報告。這就加強了企業(yè)管理當局和注冊會計師的責任，既可以降低企業(yè)的營運風險，提高企業(yè)經營效益進而保護投資者的權益，又提高了企業(yè)對外出具的財務報告及其他披露信息的可靠性。同時，應加大對審計人員的培養(yǎng)力度，提高審計人員的專業(yè)素質，壯大審計專業(yè)人員的隊伍。

（四）加強相關工作人員的教育培訓，提高其業(yè)務技能。內部控制與風險管理對于每個企業(yè)而言都是非常重要的，因此就要求工作人員具有很高的專業(yè)素養(yǎng)，而不是單純的規(guī)劃部門進行簡單的分工，企業(yè)的管理者應該聘請具有專業(yè)知識和專業(yè)技術的人員進行內部控制和風險管理的工作，并定期對其進行培訓不斷提高更新知識體系。

五、結束語

在不斷變化發(fā)展的當今社會中每個行業(yè)都具有其獨一無二的側重點，即使在同一行業(yè)，在企業(yè)不同的發(fā)展時期，風險管理與內部控制對企業(yè)所產生的效果也是不同的。在實際的經營過程中，風險管理與內部控制是密不可分的。在規(guī)則制定或立法過程中，需要考慮的是范圍與管制的強度，范圍越大，管制的要求就會越弱。對于其核心問題，在企業(yè)內部的不同層次，風險管理與內部控制的主導性相對次序也可能不同，盡管風險管理與內部控制有內在的聯(lián)系，但現(xiàn)實中的或代表目前應用水平的內部控制與風險管理還有不少的差距。許多企業(yè)在積極探索兩者在實際的應用，雖然風險管理與內部控制還具一定相對獨立性，但隨著內部控制或風險管理的不斷完善和變得更加全面，它們未來一定是既具有交叉性，又具有獨立性，最后走向融合。因此企業(yè)不能將二者分開的運用進行企業(yè)的管理，需要各個企業(yè)用聯(lián)系的眼光的看問題，只有恰到好處的運用內部控制與風險管理才能將企業(yè)做大做強，才能促使各個企業(yè)的發(fā)展達到企業(yè)經營者的經營目標，但是同樣企業(yè)的經營者不能盲目融合二者這樣反而會讓企業(yè)的經營發(fā)展遇到困難。

［1］周兆生.C0SO企業(yè)風險管理框架（中文版）.華融資產管理公司，2004.

［2］牛成.coso內部控制框架.東北財經大學出版社，2004.

［3］卓繼民.現(xiàn)代企業(yè)風險管理審計.中國財政經濟出版社，2005.

［4］黃國軒.基于風險管理的內部控制創(chuàng)新［J］.財會通訊，2008.3.